GitHub öppnar sin rÄdgivande databas för sÄrbarheter för gemenskapsbidrag

GitHub öppnar sin rÄdgivande databas för sÄrbarheter för gemenskapsbidrag


GitHub öppnar GitHub Advisory Database för gemenskapsbidrag, cirka tvÄ Är efter att den Microsoft-Àgda kodvÀrdplattformen först lanserade sÄrbarhetsdatabasen för offentlig konsumtion.

Flytten passar in i en bredare industriell satsning för att sĂ€kra mjukvaruförsörjningskedjan, och följer ett nyligen genomfört Vita huset-vĂ€rdat sĂ€kerhetstoppmöte med öppen kĂ€llkod som försökte ta itu med hur man bĂ€st kan tackla brister i gemenskapsdriven programvara – sĂ„som den nyligen upptĂ€ckta Log4j-sĂ„rbarheten .

“GitHub anser att fri och öppen sĂ€kerhetsdata Ă€r avgörande för att ge branschen som helhet möjlighet att pĂ„ bĂ€sta sĂ€tt sĂ€kra vĂ„ra leveranskedjor för mjukvara”, skrev GitHub senior produktchef Kate Catlin i ett blogginlĂ€gg.

Sök och hitta

GitHub Advisory Database Àr ett massivt kompendium av sÄrbarheter för mjukvaruberoende, som gör det möjligt för utvecklare att söka efter kÀnda problem som pÄverkar projekt med öppen kÀllkod pÄ GitHub, inklusive specifika arkiv i sina egna projekt som kan pÄverkas.

Hittills har GitHub fyllt databasen med hjÀlp av information hÀmtad frÄn olika kÀllor, inklusive National Vulnerability Database; en blandning av maskininlÀrning och mÀnskliga recensioner av offentliga koder pÄ GitHub; sÀkerhetsrÄdgivning som rapporteras via GitHub; och NPM sÀkerhetsrÄdgivningsdatabasen. GÄr vi framÄt, snarare Àn att helt lita pÄ team av sÀkerhetsforskare och kuratorer för att underhÄlla databasen, granska kodÀndringar och hÄlla rÄden uppdaterade, kommer GitHub nu att göra det möjligt för gemenskapsmedlemmar att lÀgga till sitt vÀrde till blandningen.

För att stödja denna nya push har hela innehÄllet i den rÄdgivande databasen ett nytt offentligt arkiv, med ett anvÀndargrÀnssnitt för att lÀmna bidrag. Precis som med den befintliga databasen kommer all data att göras tillgÀnglig under en Creative Commons-licens, sÄ den kan ÄteranvÀndas pÄ vilket sÀtt som helst.

GitHub: Bidrag frÄn gemenskapen

Detta innebĂ€r att alla frĂ„n oberoende sĂ€kerhetsforskare och akademiker till frilansande kodare nu kan tillhandahĂ„lla ytterligare information och sammanhang till bekrĂ€ftade CVE:er (Common Vulnerabilities and Exposures). För att göra det kan utvecklare navigera till en specifik sĂ€kerhetsrĂ„dgivning i databasen och sedan skicka in sin forskning genom alternativet “föreslĂ„ förbĂ€ttringar för denna sĂ„rbarhet”.

Det Àr vÀrt att notera att alla gemenskapsinlÀmningar fortfarande kommer att granskas av GitHub och underhÄllaren som ursprungligen lÀmnade in CVE om det Àr kÀnt.

“Genom att göra det enklare att bidra till och konsumera, hoppas vi att det kommer att driva Ă€nnu fler upplevelser och kommer att ytterligare bidra till att förbĂ€ttra sĂ€kerheten för all mjukvara”, konstaterade Catlin.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknologi och handla. LÀs mer om medlemskap.